這篇"AI and cybersecurity: What boards need to know"是2026年1月12日在Fast Company刊出的文章。以下分享一些要點。
無論公司是自己建的AI工具或仰賴外外包商,治理挑戰都是一樣的。如果防衛機制弱的話,內部模型可以透過資料中毒被操弄或者濫用。外包商的系統則會帶來額外的暴險,因為AI行為及資料處理都不受公司直接控制。
在Nasdaq上市公司Sunrun及NYSE上市公司TrueBlue的獨立董事、矽谷創投資公司Sway Ventures的Sonita Lontoh說,「董事會需要問的問題是:你的治理是什麼?你如何監控風險?有什麼KPIs 及服務層級的協議可治理你的AI行為及資料使用?」若缺了明確的揭露,公司或許根本不知道自己在第三方工具之中本來就有的暴險。
為處理這個問題,Lontoh強調四個治理支柱:透明、外包商風險、治理成熟以及人才。治理重要,原因是組織必須對於其所使用的AI系統沒有黑箱一事,感到滿意。外包商風險重要,是因為很多當前的攻擊都源自於有缺陷的第三方工具。
治理成熟意味針對整個AI的生命週期都有政策、程序以及監督。人才重要是因為「若你有工具,則人員要知道當AI系統未如預期般行事時,該如何治理、監控以及因應。」
對外包商與供應鏈的理解也同樣重要。董事會需要瞭解,哪些外包商會使用AI、他們如何監控風險,以及當有問題時公司如何與他們協調一致—因為最終的確會這樣。
Lontoh說,「壞事總會發生,只是規模大小。這是為何事件因應準備流程必須是真實且準備好的,董事會必須明確知道報告流程、鑑識能力,以及延續計畫。」
Lontoh警告,千萬別在沒有人為監督下過度仰賴工具,因為科技很容易出現幻覺,或者很自信地給不正確的答案。她說,「AI不應該取代人,應該是協助才對。」在流程中有人員存在,對於牽涉高風險、易犯錯的AI產出的流程而言十分重要。
若AI帶來的安全問題令人喘不過氣的話,她建議將董事會討論聚焦於以下三個領域:風險辨識、治理以及人才準備。
首先,董事會應該瞭解哪些方面會使用AI,不管是內部或外包商的供應,並制定對方會如何用AI干擾組織的樣貌。「影子AI」就是員工使用到未經授權的工具,而這越來越引人擔憂。
董事會對治理需要釐清:誰負責哪個模型、如何監控偏差、如何驗證產出是有效的,以及AI系統在查核上有多透明。隨各部門使用更多AI工具現象普遍,外包商審核更加重要。
Lontoh說,最後,我們應該要問:我們有正確的技能而能管理AI所增強的網路安全嗎,以及當AI工具失靈時,我們有什麼事件因應計畫?
Lontoh主張,董事要親自投入新的AI工具,並參加聚焦於治理和技術的會議。她說,否則可能過度重視風險,卻錯過技術發展的機會。
資料來源:https://www.fastcompany.com/91473500/ai-and-cybersecurity-what-boards-need-to-know
沒有留言:
張貼留言